什么是PPTP? [2006-7-27 15:24:12]
苯溴马隆
: 点对点隧道协议PPTP( Point-to-Point Tunneling Protocol)是由PPTP论坛定义的一种隧道协议,它允许PPP包再封装在IP包内部,从而在任何IP网络包括Internet上转发。Windows98及以上版本都支持PPTP。 传输模式和隧道模式的区别? [2006-7-27 15:22:52]
: 传输模式------ 数据包的负载 (数据)部分通过加密被封装起来 但是IP头还是保持透明 (不改变)。主要应用于一个IP主机来保护本地发起的数据。传输模式只能保护IP负载(用户数据)的上层协议。中怡数宽VPN 防火墙不支持传输模式。 隧道模式------ 所有部分,包括原始的IP头都被封装起来, 产生一个新的IP头。只有这个新的头是透明的 (没有保护)这种方式安全性更强。 是面向安全网关的,它可以使安全网关向其他缺少IPSec能力的机器提供IPSec服务,隧道模式可以保护包括用户数据在内的整个IP包。中怡数宽VPN防火墙支持隧道模式。
IPSec支持哪些安全协议? [2006-7-27 15:21:25]
:
IPSec提供了2种协议:AH(认证包头,提供数据源身份认证、数据完整性保护、重放攻击保护功能,协议号51)和ESP(封装安全载荷,提供数据保密、数据源身份认证、数据完整性、重放攻击保护功能,协议号50)
什么是IPsec? [2006-7-27 15:20:48]
: IPSec是一个广泛的 VPN安全标准, 在 TCP/IP网络上使用,它工作在数据包的级别上, 验证和加密VPN通道中的所有数据包。如此,它并不关心您的PC上使用什么应用程序,任何应用程序可以象其他网络连接一样使用VPN。 IPSec VPN通过称作SA(安全关联)的连接来交换信息,SA可以简单的定义为在两个VPN设备之间的协议、算法和密码。
每个IPSec VPN 有两个SA -每个方向一个。如果使用 IKE (Internet 密钥交换) 来产生和交换密匙, 跟IPSec连接一样,IKE连接也需要SA。
建立VPN网络有什么好处? [2006-7-27 15:18:26]
: 1、大大节省费用 相比较昂贵的DDN专线和必须付市话费和长话费的Modem而言,费用大大降低。同时由于SAFEcon系列的超级防火墙功能以及强大的共享上网、管理功能,使企业不必再购买相关设
备,从而最大限度的为企业节约了成本。
2、资源共享 通过VPN的互联,VPN各分点之间能共享相关资源。
3、数据传输安全 采用VPN传输数据能最大限度的保证所传输数据的安全。同时由于SAFEcon系列VPN防火墙的超级防火墙功能,保证企业内部网络及数据不受外界的侵扰。我所认识的蔡孑民先生
4、数据集中实时处理 采用VPN将中心点与分支点互连,使分支点的数据能实时的传送到中心点处理,使管理人员能及时了解分支的运营状况,从而作出相应的决策,这样就提高了企业的响应能力和工
作效率,大大提高了企业的竞争力。
什么是VPN? [2006-7-27 15:17:23]
: VPN(Virtal Private Network)虚拟私人网络,又称为虚拟专用网络,是一种常用于连接中、大型企业或团体与团体间的私人网络的通讯方法。虚拟私人网络的讯息透过公用的网络架构(例如:互联网)来传送内联网的网络讯息。
什么是远程访问? [2006-7-27 15:16:56]
: PROcon/SAFEcon系列防火墙的远程访问是指通过开放端口的方式,使Internet的远端用户能够远程登录到防火墙,进行管理配置。
什么是QOS? [2006-7-27 15:16:07]
: QoS(Quality of Service)就是服务质量管理,是宽带IP网络的主要关键测试技术,用来解决网络延迟和阻塞等问题的一种技术。路由器上的QoS可以通过下面几种手段获得:
? 通过大带宽得到
在路由器上除增加接口带宽以外不作任何额外工作来保障QoS。由于数据通信没有相应公认的数学模型作保障,该方法只能粗略地使用经验值作估计。通常认为当带宽利用率到达50%以后就应当扩容,保证接口带宽利用率小于50%。
? 通过端到端带宽预留实现
该方法通过使用RSVP或者类似协议在全网范围内通信的节点间端到端预留带宽。该方法能保证QoS,但是代价太高,通常只在企业网或者私网上运行,在大网公网上无法实现。
? 通过接入控制、拥塞控制和区分服务等方式得到
该方式无法完全保证QoS。这能与增加接口带宽等方式结合使用,在一定程度上提供相对的CoS。
? 通过MPLS流量工程得到
MPLS流量工程利用可用资源沿链路建立标签交换路径(LSP), 从而确保始终为特定流提供有保证带宽, 以避免在稳定或故障情况下出现拥塞。由于LSP只是在资源可用的条件下建立,因此不需要轻载。此外, 如果沿最短路径的可用资源不足, 可以不按照最短路径来设计LSP, 从而实现传输资源优化。MPLS的另一个优势在于其内部机制,通过链路保护和快速重新路由等机制实现故障发生时的快速恢复。中怡数宽防火墙的QoS机制就是采用MPLS流量工程原理设计的。
什么是网络协议? [2006-7-27 15:15:44]
: 网络协议即网络中(包括互联网)传递、管理信息的一些规范。如同人与人之间相互交流是需要遵循一定的规矩一样,计算机之间的相互通信需要共同遵守一定的规则,这些规则就称为网络协议。常见的协议有:TCP/IP协议、IPX/SPX协议、NetBEUI协议等。在局域网中用得的比较多的是TCP/IP、IPX/SPX。用户如果访问Internet,则必须在网络协议中添加TCP/IP协议。
什么是虚拟服务器? [2006-7-27 15:14:42]
: 通常情况下,要使内部服务器能被外部用户访问,必须给相应的服务器分配一个公网IP地址。
在NAT技术的支持下,可以利用DWnet的防火墙只使用一个公网IP地址即可实现以上功能。其设置非常简单,只需配置相应端口映射到被访问的内部服务器IP地址。
什么是DMZ? [2006-7-27 15:13:07]
: DMZ是英文“demilitarized zone”的缩写,中文名称为“隔离区”,也称“非军事化区”。它是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题,而设立的一个非安全系统与安全系统之间的缓冲区,这个缓冲区位于企业内部网络和外部网络之间的小网络区域内,在这个小网络区域内可以放置一些必须公开的服务器设施,如企业Web服务器、FTP服务器和论坛等。另一方面,通过这样一个DMZ区域,更加有效地保护了内部网络,因为这种网络部署,比起一般的防火墙方案,对攻击者来说又多了一道关卡。
但是由于DMZ区没有得到防火墙的保护,在遭受攻击是将非常脆弱,因此建议慎重使用。
什么是NAT [2006-7-27 15:10:52]
: 网络地址转换(NAT)是IETF 为了解决IPv4 协议定义的IP 地址不足问题而提出的一种解决方案。是用于将一个地址域(如:专用Intranet)映射到另一个地址域(如:Internet)的标准方法。它允许一个机构专用Intranet中的主机透明地连接到公共域中的主机,无需内部主机拥有合法的(以及越来越缺乏的)Internet地址。
它的主要工作原理是:在内部网络中使用IPv4 保留的私有地址对主机进行地址分配,同时在NAT 网关处将所有的内部网络地址以某种方式动态映射为一个或多个因特网合法IP 地址(通常为NAT 网关的外网口地址)。目前NAT 技术以其简单实用的特点在国内得到了非常广泛的应用,比如:企业局域网通过代理或防火墙共享上网,小区和智能大厦提供的宽带接入,宽带城域网接入业务等等;而且在很多地方用户访问因特网的数据往往通过了多层NAT 网关的转换。
什么是DOS攻击? [2006-7-27 15:10:09]
: DoS(Denial of Service)拒绝服务攻击,其攻击策略侧重于通过很多“僵尸主机”(被攻击者入侵过或可间接利用的主机)向受害主机发送大量看似合法的网络包,从而造成网络阻塞或服务器资源耗尽而导致拒绝服务,分布式拒绝服务攻击一旦被实施,攻击网络包就会犹如洪水般涌向受害主机,从而把合法用户的网络包淹没,导致合法用户无法正常访问服务器的网络资源,因此,拒绝服务攻击又被称之为“洪水式攻击”,常见的DDOS攻击手段有SYN Flood、ACK Flood、UDP Flood、ICMP Flood、TCP Flood、Connections Flood、Script Flood、Proxy Flood等。
DOS的表现形式主要有两种,一种为流量攻击,主要是针对网络带宽的攻击,即发送大量攻击包导致网络带宽被阻
塞,合法网络包被虚假的攻击包淹没而无法到达主机;另一种为资源耗尽攻击,主要是针对服务器主
机的攻击,即通过大量攻击包导致主机的内存被耗尽或CPU被内核及应用程序占完而造成无法提供网络服务。
什么是SPI防火墙? [2006-7-27 15:09:22]
多血质: SPI(Stateful Packet Inspection)状态检测防火墙是指通过对每个连接信息(包括套接字对(socket pairs):源地址、目的地址、源端口和目的端口;协议类型、TCP协议连接状态和超时时间等)进行检测从而判断是否过滤数据包的防火墙。它除了能够完成简单包过滤防火墙的包过滤工作外,还在自己的内存中维护一个跟踪连接状态的表,比简单包过滤防火墙具有更大的安全性。
什么是控制端口? [2006-7-27 15:08:07]
: 端口是在传输层用来定义会话进程和与上层的连接。其范围0-65535,通常0-1023都是已经被定义的端口号。
最大带机数量 [2006-7-27 14:59:26]
: 最大带机数量只是一个估算值,必须结合一定的网络环境以及网络用户的使用习惯来考核,因此对于企业或网吧的用户,不过目前还没有一个明确的标准来衡量宽带路由器的实际可带机数量。因为每一个网络繁忙程度大不相同,防火墙负载程度也不尽相同。用户必须根据自身的网络环境来选择合适
的防火墙产品。
什么是吞吐量? [2006-7-27 14:55:25]
: 测试被测设备数据包转发的能力。通常指被测试设备在没有丢帧情况下发送和接收帧的最大速率,以所能达到的线速百分比表示。数值越大说明被测设备数据包转发能力越强。
随着Internet的日益普及,内部网用户访问Internet的需求在不断增加,一些企业也需要对外提供诸如WWW页面浏览、FTP文件传输、DNS域名解析等服务,这些因素会导致网络流量的急剧增加,而防火墙作为内外网之间的唯一数据通道,如果吞吐量太小,就会成为网络瓶颈,给整个网络的传输效率带来负面影响。因此,考察防火墙的吞吐能力有助于我们更好的评价其性能表现。这也是测量防火墙性能的重要指标。
吞吐量的大小主要由防火墙内网卡,及程序算法的效率决定,尤其是程序算法,会使防火墙系统进行大量运算,通信量大打折扣。因此,大多数防火墙虽号称100M防火墙,由于其算法依靠软件实现,通信量远远没有达到100M,实际只有10M-20M。纯硬件防火墙,例如中怡数宽防火墙由于采用硬件进行运算,因此吞吐量可以达到线性90-100M,是真正的100M防火墙。对于中小型企业来讲,选择吞吐量为百兆级的防火墙即可满足需要,而对于电信、金融、保险等大公司大企业部门就需要采用吞吐量千兆级的防火墙产品。
什么叫并发连接数
[2006-7-27 14:51:20]
: 并发连接数是指防火墙或代理服务器对其业务信息流的处理能力,是防火墙能够同时处理的点对点连接的最大数目,它反映出防火墙设备对多个连接的访问控制能力和连接状态跟踪能力,这个参数的大小直接影响到防火墙所能支持的最大信息点数。
并发连接数是衡量防火墙性能的一个重要指标。在我们用电脑工作时,打开的一个窗口或一个Web页面,我们可以把它叫做一个“会话”,扩展到一个局域网里面,所有用户要通过防火墙上网,要打开很多个窗口或Web页面发(即会话),那么,这个防火墙,所能处理的最大会话数量,就是“并发连接数”。开封市人事局
同路由器存放路由信息的路由表一样,防火墙里也有一个存放并发连接信息并发连接表,它可在防火墙系统启动后动态分配进程的内存空间,其大小也就是防火墙所能支持的最大并发连接数。大的并发连接表可以增大防火墙最大并发连接数,允许防火墙支持更多的客户终端。
防火墙分为那些类别? [2006-7-27 14:47:11]
: 1. 从软、硬件形式上分为:
软件防火墙和硬件防火墙以及芯片级防火墙。
2. 从防火墙结构分为:
单一主机防火墙、路由器集成式防火墙和分布式防火墙三种。
3. 按防火墙的应用部署位置分为
边界防火墙、个人防火墙和混合防火墙三大类。
什么是防火墙? [2006-7-27 14:46:15]
: 防火墙(FireWall),它是目前一种最重要的网络防护设备。从专业角度讲,防火墙是位于两个(或多个)网络间,实施网络之间访问控制的一组组件集合。
防火墙是隔离在本地网络与外界网络之间的一道防御系统。防火墙可以使企业内部局域网(LAN)网络与Internet之间或者与其他外部网络互相隔离、限制网络互访用来保护内部网络。典型的防火墙具有以下三个方面的基本特性:
1、内部网络和外部网络之间的所有网络数据流都必须经过防火墙
crh2
2、只有符合安全策略的数据流才能通过防火墙
3、防火墙自身应具有非常强的抗攻击免疫力
PROcon和SAFEcon系列的区别 [2005-2-2 14:40:53]
任弼时中学
: 1、SAFEcon系列均有VPN功能,PROcon系列则没有VPN功能
2、部分PROcon系列产品(如PROcon5/10)没有日志查询的功能
3、部分PROcon系列产品(如PROcon5/10)没有线上更新FW的功能,只能用升级工具来升级。
PROcon系列的目标客户? [2005-1-29 14:52:29]
: 中怡数宽PROcon系列防火墙主要面对的是政府、金融、企业、学校的商业用户,具有以下网络需要特征的商业用户:
1\ 需要使用安全策略来控制通过防火墙的数据进出
2\ 需要管控用户的网络行为,合理商用(IM,连接会话,频宽、网页等)
3\ 需要记录查看网
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议